BIOS/UEFI硬盘密码有多安全？

Question

我正在购买一些新的机器，并担心数据的安全性，如果机器被实际窃取。它很容易取出驱动器，图像，并阅读你想要的。

我可以使用文件级加密，但这是不够的:人们最终将不加密每个文件，此外，有太多的存储在交换，页面文件，日志，注册表，缓存等。

我可以使用BitLocker或其他操作系统的全磁盘加密，但有几个问题，我现在不想再讲了。总之，我想要的是硬件层面的东西，而不是软件。

现在，自我加密驱动器( SED )看起来就像我想要的那样，但是，它们非常昂贵，特别是对于非常大的尺寸(我需要)--我甚至找不到1 TB的SED SSD。我看到很多机器都有BIOS/UEFI的“硬盘密码”，但是我找不到很多。这仅仅是一个不同名称的BIOS密码吗？它背后有加密吗？这是控制器级别的支票吗？磁盘接口？会把车开走并成像绕过它吗？

如果破解锁需要更换驱动器电子设备(即驱动器硬件上的锁，而不是加密的)，那就足够了。如果它只是一个BIOS密码，可以通过螺丝起子和SATA桥击败，这是一个不同的故事。

BIOS/UEFI硬盘密码有多安全？它们是如何工作的？已知针对他们的攻击类型是什么？

Answer 1

这个密码是由存储驱动器本身强制的，所以它不能被系统固件覆盖；这并不意味着它应该被信任。

驱动器如何强制使用该密码，并且没有明确的标准(如果有，就没有简单的方法来验证驱动器是否实际兼容)；因此，它很有可能只是由驱动器的固件强制执行的密码(没有加密，所以更换固件就足以泄露数据)，或者是几天之内就会被破解的安全加密。

简而言之，考虑一下那些自加密驱动器，就好像没有加密一样。如果你不介意微软和美国国家安全局偷看，你可以在已经加密的数据(LUKS、TrueCrypt/VeraCrypt或BitLocker )上使用它们，但不要将它们作为唯一的保护。

Answer 2

ATA硬盘驱动器密码不过是一个关机访问开关.实现它的驱动器不会加密数据，只是驱动器电子设备在输入正确的密码之前不会传输数据。有些公司承诺以适度的价格重新设置这一设置(我想他们会取代驱动器电子板)。据推测，有软件可以重置这些密码，但我从未见过一个使用过，我甚至不想从那些粗略的网站下载一个密码。

全磁盘加密(SED)是实际的AES加密，它利用主板上的可信平台模块( TPM )芯片解锁密钥；在TPM芯片普及之前，用于使用预引导身份验证(PBA)解锁密钥的驱动器。但是如果小偷偷了整台电脑，他们也有TPM芯片。然后，当驱动器连接到被盗的机器时，他们可以启动系统，等待它接收密钥，将驱动器打开(因此它保留密钥)，将SATA数据线切换到他们选择的机器，然后对磁盘进行未加密的映像。本文“自加密磁盘带来自解密风险。”详细介绍了几种不同的对SED驱动器的攻击，包括通过PCI、Firewire或Thunderbolt进行的DMA传输；以及邪恶的女佣MBR攻击。

另一个已知的问题是硬盘上的固件可能会被篡改(斯诺登泄密显示，美国国家安全局有IRATEMONK的能力)，这使得整个SED概念失效。

你是否想投资SEDs取决于你感知到的威胁模型。攻击者是否有足够的动机？你的数据对第三方来说是高价值的吗？或者你害怕咖啡店里一般的机会主义小偷，他们会在Craigslist上卖你的笔记本电脑吗？